L'obtention de la certification ISO 27001 est une démarche importante et stressante pour les organisations qui souhaitent démontrer leur engagement envers la sécurité de l'information.

Le processus de certification vers la norme ISO27001 comprend deux étapes clés : l'audit de stage 1 et de stage 2.

Étape 1 : Audit Préliminaire

L'audit du stage 1, souvent appelé "audit documentaire" ou "revue de préparation", vise à évaluer la préparation de l'entreprise pour l'audit de certification. Il s'agit d'examiner la documentation du SGSI pour s'assurer qu'elle est conforme aux exigences de l'ISO 27001.

Activités Principales

  • Examen de la documentation : Vérification des politiques de sécurité, de la portée du SGSI, si l'analyse de risques a été réalisée.
  • Évaluation de la compréhension : Discussions avec le personnel pour s'assurer qu'ils comprennent les exigences de la norme.
  • Identification des lacunes : Découvrir les éventuels écarts avant de passer à l'étape 2.

Attention — Cette étape n'existe que lors de la première année de certification. L'année 2 et 3 sont des années de surveillance. L'année 4 étant un autre cycle de trois ans, elle est une "Recertification" (l'étape 2 est refaite).

Étape 2 : Audit de Certification

L'audit de l'étape 2 est une évaluation approfondie de la mise en œuvre et de l'efficacité du SGSI. L'objectif est de confirmer que les pratiques de l'entreprise sont conformes aux politiques documentées et répondent aux exigences de l'ISO 27001.

Activités Principales

  • Vérification sur site : Observation directe des opérations pour s'assurer que les contrôles de sécurité sont effectivement en place.
  • Entretiens avec le personnel : Discussions avec les employés pour évaluer leur compréhension des procédures.
  • Examen des enregistrements : Analyse des preuves documentées (rapports d'incidents, résultats des audits internes, revues de direction).

Comment se préparer pour l'étape 2

  • Mise en Œuvre Effective : Veillez à ce que toutes les politiques et procédures soient mises en pratique de manière cohérente.
  • Collecte de Preuves : Conservez des enregistrements détaillés des activités liées à la sécurité de l'information.
  • Amélioration Continue : Soyez prêt à démontrer comment vous surveillez et améliorez continuellement l'efficacité de votre SGSI.